バージョン 2
本データ処理プロトコル(以下「本プロトコル」という)は、ウイリス・タワーズワトソンがその顧客、取引先またはライセンシー(以下、総称して下「顧客」という)を代理して個人データを取り扱う方法について説明する。
本プロトコルは、ウイリス・タワーズワトソンのエンティティと、本プロトコルを明示的に参照する、顧客との間で取り交わされるすべての契約(以下「契約」という)の一部を形成する。本プロトコルが、問題の契約が関係するアジアおよびオーストラレーシア(オーストラリア・ニュージーランド・その付近の諸島)各国(以下「関係国」という)のプライバシー法で定義されている用語を使用する場合、当該プライバシー法で定められた定義が適用される。
個人データを処理するウイリス・タワーズワトソンのエンティティは、顧客が契約を締結したエンティティ(以下「関連したウイリス・タワーズワトソンのエンティティ」という)である。関連したウイリス・タワーズワトソンのエンティティの連絡先の情報は、契約書に記載されている。データ保護責任者を、関係国のプライバシー法に基づいて任命する必要がある場合は、その連絡先情報は関連したウイリス・タワーズワトソンのエンティティを通じて取得できる。
顧客またはデータ対象が関係国のプライバシー法に基づいて有する権利を含む要求やフィードバックは、関連するウイリス・タワーズワトソンのエンティティに指図できる。
たいていの場合は、顧客またはデータ対象は、関係国のデータ保護当局に自分たちのフィードバックを参照することもできる。
データ処理
顧客に代わり(別紙1を参照)、関連したウイリス・タワーズワトソンのエンティティが処理する個人データに関して、関連したウイリス・タワーズワトソンのエンティティは次の要件を遵守する。
使用の制限 関連したウイリス・タワーズワトソンのエンティティは、適宜顧客から書面による指示があったり、法律で求められた場合は、関連するサービスを提供する目的でのみ個人データを処理する。
機密性 関連したウイリス・タワーズワトソンのエンティティは、個人データの機密性を保持し、個人データを処理する関連したウイリス・タワーズワトソンのエンティティの担当者に、本プロトコルの要件に従って全ての個人データを保護することを義務付ける。
情報セキュリティプログラム 関連したウイリス・タワーズワトソンのエンティティは、文書化された情報セキュリティ、機密保持、または誠実性に対して予測される脅威や危険から個人データを保護するための適切な事務的、技術的および物理的な予防措置を含む、セキュリティプログラムを維持する。該当するセキュリティプログラムは定期的に見直される。
アシスタンス
データ処理の性質や利用可能な情報を考慮に入れ、関連したウイリス・タワーズワトソンのエンティティは次のことを行う。
- I. 関係国のプライバシー法に基づき権利を行使する個人からの要求に対応する義務を果たせるよう顧客をサポートするために合理的なアシスタンスを提供する。このような支援は、関連するプライバシー法で許されている場合は提供されない可能性がある。例えば、それが他のデータ対象に関する情報を開示することにつながる可能性がある場合、または開示によって調査に支障をきたす可能性がある場合である。および、
- II. 関係国のプライバシー法の下で明示的に要求されている場合は、
- 該当する関係国のこのようなプライバシー法に定められた義務への遵守を実証するために、顧客が合理的に要求するすべての情報を顧客が利用できるようにすることで、顧客の義務を果たせるように顧客をアシストする。
- 指示が関係国のプライバシー法に違反しているとの意見がある場合は、直ちに顧客に通知する。
関連したウイリス・タワーズワトソンのエンティティは、上述のような支援に対して合理的な料金を請求することができる。ただし、自らの作為または不作為の結果として直接的に支援が必要であった場合は、この支援は関連したウイリス・タワーズワトソンのエンティティの負担となる。
監査 関連したウイリス・タワーズワトソンのエンティティ体は、合意したプライバシーに関する義務および/または関係国のプライバシー法の下、顧客または顧客によって指名された別の監査人によって実施される監査を許可し、貢献する。顧客は、関連したウイリス・タワーズワトソンのエンティティにいかなる監査要求の30日前に通知を提供しなければならず、両当事者は相互に受け入れ可能な監査時間と範囲について合意しなければならない。顧客は、関連したウイリス・タワーズワトソンのエンティティのその他のあらゆる顧客および取引先の機密保持義務に抵触する可能性がある監査には携わってはならない。また、その監査を請け負う他の監査人を指名することが望まれる場合は、その監査人は、関連したウイリス・タワーズワトソン企業体が合理的に要求する形式で、関連したウイリス・タワーズワトソン企業体と機密保持契約を確実に締結しなければならない。関連したウイリス・タワーズワトソンのエンティティは、当該のアシスタンスを提供した結果として発生したすべての合理的な費用および経費を請求することができる。
通知 関連したウイリス・タワーズワトソンのエンティティは、関係国のプライバシー法で定義されているデータ侵害が確認された場合、ならびに本プロトコルに従って処理された個人データの偶発的または違法な破壊、損失、変更、不正開示、または不正アクセスにつながるその他のセキュリティ違反が確認された場合は、不当に遅れることなくクライアントに通知する。
返却または廃棄 別紙1 に指定されている通り、顧客は、関連したウイリス・タワーズワトソンのエンティティが顧客の個人データを取り扱う期間の終了時に、個人データの消去または返却をウイリス・タワーズワトソンに指示することができる。ただし、関連したウイリス・タワーズワトソンのエンティティが、合法的なビジネス目的および/または合法的な目的に必要な範囲で個人データをアーカイブして保持する場合がある。
下請による処理
顧客は、関連したウイリス・タワーズワトソンのエンティティが本契約の下、サービスを提供するために下請け処理業者を利用する可能性があることを理解する。関連したウイリス・タワーズワトソンのエンティティは、本プロトコル上の義務の履行に対して一次責任を存続する。
匿名化および偽名化されたデータ
顧客はサービスに統計報告および(動向)調査目的における匿名化や偽名化が含まれることを認め、関連したウイリス・タワーズワトソンのエンティティが偽名化、匿名化されたデータを自身の事業目的で使用できることに同意し、関連したウイリス・タワーズワトソンのエンティティは、当該処理に関して適用される全てのデータ保護法を遵守する。
データの転送
顧客は、関連したウイリス・タワーズワトソンのエンティティが、支援およびサポート目的で、関係国内外の関連企業および下請け処理業者に個人データを転送する可能性があることを承認する。該当関連企業および下請け処理業者のリストは、関連したウイリス・タワーズワトソンのエンティティから得ることができ、可能な限り、関連したウイリス・タワーズワトソンのエンティティは、顧客にそのような受信者がいる可能性の高い国々を通知する。関連したウイリス・タワーズワトソンのエンティティは、少なくとも関係国の法律に匹敵するレベルで、このような転送された個人データを保護するための予防措置を確立している。
別紙1-個人データ処理の詳細
1. 主題、性質、および目的
本契約上に記載されているサービスの提供を促進または支援するために合理的に必要とされる全ての処理行動(個人データの収集、整理、分析を含む)。
顧客/データ対象が、関連したウイリス・タワーズワトソンのエンティティが個人データの処理をおこなうことを拒否した場合、このような拒否により本契約に記載されているサービスの供給に損害が生じたり、挫折してしまう可能性がある。さらに、関連したウイリス・タワーズワトソンのエンティティは、法律で許可されていたり、義務付けられている場合は、顧客/データ対象の要望に関係なく、個人データを処理することがあるかもしれない。
2. 個人データを処理および保持する期間
関連したウイリス・タワーズワトソンのエンティティは、顧客にサービスを提供する限りは個人データを処理し、その後は正当な事業目的および/または法律上の目的において必要な範囲内でその個人データをアーカイブにして保持する。
3. 個人のカテゴリー
データ対象には、関連したウイリス・タワーズワトソンのエンティティがサービスを供給するために関係したポリシーやスキームに名前が記載されている個人、および/またはそのようなポリシーやスキームの受益者である、またはそのようなポリシーやスキームに基づいて請求を行った、またはその他の方法で関与した個人が含まれる可能性がある。最も一般的なデータ対象には、(1) 顧客の従業員、契約業者、またはその他の労働者(以下「労働者」)、および/またはその家族、代表者、または労働者と関連するその他の人々、(2) 顧客の過去の、既存の、または見込まれる顧客、および/またはその従業員や顧客と関連するその他の人々、またはその家族、代表者または関連する人物、および/または (3) あらゆる保険契約に関連した過去の、既存の、または見込まれる訴願人や請求者、および/またはその家族、代表者、または彼らと関連する人々、が含まれる。
4. 個人データの種類
契約に基づくサービスには、以下の種類の個人データの処理が関与する可能性がある。
- 名前や連絡先情報(自宅の住所と電話番号を含むが、これらに限定されない)、
- 人口統計的情報(性別、年齢、生年月日、結婚歴、国籍、学歴や職歴、学術資格や専門資格、雇用状況の詳細、趣味、世帯構成、扶養家族など)、
- 従業員識別番号、
- 保険金請求や関連した損失の原因となった事故に関連する情報などのポリシー情報や保険金請求情報のような、サービスの提供に関連する情報、
- 電子メールアドレス、ユーザー名、パスワードを含むがこれらに限定されない、システムユーザーの資格情報、および
- 役職や役割名などの人事データ、給付や補償に関する情報、扶養者および受益者に関する情報、教育的・学術的・専門的な資格に関する情報、緊急連絡先に関する情報、および業務管理に関する情報。
5. より機密性の高い可能性のあるデータの種類:
関連したウイリス・タワーズワトソンのエンティティによって処理される個人データには、次のような複数のカテゴリーにまたがる個人データが含まれる場合がある。人種または出身民族、性生活または性的指向、精神的および肉体的な健康状態、遺伝情報、負傷の詳細、受けた投薬/治療、喫煙および飲酒習慣などのライフスタイル、犯罪歴、罰金、その他の司法記録、個人識別文書やパスポート番号などの関連情報、銀行口座番号や取引情報などの財務および支払いデータなど。
